SOCKS

2024-06-14T14:15:39Z

147.161.234.97: /* SOCKS-Server */

{{Dieser Artikel|behandelt das Internet-Protokoll. Zu weiteren Bedeutungen siehe [[Socks]].}}

Das '''SOCKS-Protokoll''' ist ein [[Internet]]-[[Netzwerkprotokoll|Protokoll]], das [[Client-Server-System|Client-Server-Anwendungen]] erlaubt, protokollunabhängig und transparent die Dienste eines [[Proxy (Rechnernetz)|Proxyservers]] zu nutzen. SOCKS ist eine Abkürzung für „[[Socket (Software)|SOCKetS]]“.

[[Client]]s hinter einer [[Firewall]], die eine Verbindung zu einem externen [[Server]] aufbauen wollen, verbinden sich stattdessen zu einem SOCKS-Proxy. Dieser Proxyserver überprüft die Berechtigung des Clients, den externen Server zu kontaktieren, und leitet die Anfrage an den Server weiter.

Das SOCKS-Protokoll wurde ursprünglich von [[NEC Corporation|NEC]] entwickelt (SOCKS-4). Die aktuelle Version 5 des Protokolls, wie beschrieben in <nowiki>RFC 1928</nowiki>,<ref>{{RFC-Internet |RFC=1928 |Titel=SOCKS-Protokoll Version 5 |Datum=}}</ref> erweitert die vorherigen Versionen um Unterstützung für [[User Datagram Protocol|UDP]], [[Authentifizierung]], Namensauflösung am SOCKS-Server und [[IPv6]].

Im [[Internetprotokollfamilie#TCP/IP-Referenzmodell|TCP/IP-Modell]] ist es eine Zwischenschicht zwischen der Anwendungsschicht und der Transportschicht.

== Das SOCKS-4-Protokoll ==

=== Anfrage ===
Eine typische SOCKS-4 Verbindung baut sich, via [[Transmission Control Protocol|TCP]], wie folgt auf:
Der Client verbindet sich zum Server und sendet solch ein Paket:
{| class="wikitable"
|-
! Länge
! Beschreibung
|-
| 1 Byte
| Version (für SOCKS4: <code>0x04</code>)
|-
| 1 Byte
| Befehl:
* <code>0x01</code> = neue [[Transmission Control Protocol/Internet Protocol|TCP/IP]]-Verbindung
* <code>0x02</code> = bindet einen Port
|-
| 2 Bytes
| Portnummer
|-
| 4 Bytes
| [[IPv4]]-Adresse
|-
| unbestimmt
| User-ID (optional; wenn keine Authentifizierung notwendig, diesen Abschnitt überspringen)
|-
| 1 Byte
| Abschluss mit Null-Byte (<code>0x00</code>)
|}

=== Antwort ===
{| class="wikitable"
|-
! Länge
! Beschreibung
|-
| 1 Byte
| Null-Byte (<code>0x00</code>)
|-
| 1 Byte
| Antwortcode:
* <code>0x5A</code> = Anfrage bewilligt
* <code>0x5B</code> = Anfrage abgelehnt oder fehlgeschlagen
* <code>0x5C</code> = Anfrage fehlgeschlagen, da der Client nicht <code>identd</code> ausführt (oder nicht vom Server erreichbar ist)
* <code>0x5D</code> = Anfrage fehlgeschlagen, da <code>identd</code> die ID nicht bestätigen konnte
|-
| 2 Byte
| Beliebige Daten.
|-
| 4 Byte
| Beliebige Daten.
|}

=== Beispiel ===
Fred möchte sich via SOCKS4 zu der IP <code>66.102.7.99</code> auf Port 80 verbinden. Dafür verbindet er sich via TCP zu dem SOCKS4-Proxy seiner Wahl und sendet folgende Anfrage:
{| class="wikitable"
|-
! Version
! Kommando
! Portnummer
! Adresse
! User-ID
! Abschluss
|-
| <code>0x04</code>
| <code>0x01</code>
| <code>0x00 0x50</code>
| <code>0x42 0x66 0x07 0x63</code>
| <code>0x46 0x72 0x65 0x64</code>
| <code>0x00</code>
|}

Bei der User-ID ist "Fred" als Zeichenfolge in [[American Standard Code for Information Interchange|ASCII]] formatiert.

Darauf antwortet der Server mit "OK":
{| class="wikitable"
|-
! Null-Byte
! Antwortcode
! Beliebige Daten
! Beliebige Daten
|-
| <code>0x00</code>
| <code>0x5A</code>
| <code>0xXX</code>
| <code>0xXX</code>
|}

<code>0xXX</code> ist hier ein Platzhalter für je ein beliebiges Byte.

Von da an werden alle Daten, die der Client (Fred) an den SOCKS-Proxy schickt, an <code>66.102.7.99</code> weitergeleitet und umgekehrt.

== Das SOCKS-5-Protokoll ==
SOCKS-5 unterscheidet sich von SOCKS-4 vor allem durch bessere Authentifizierung, UDP und IPv6-Unterstützung.

Der Aufbau funktioniert nun so:

# Der Client verbindet sich zum Server und begrüßt ihn mit Authentifizierungsmethoden, die er selbst unterstützt.
# Der Server antwortet mit einer von den vom Client gesendeten Methoden.
# Abhängig von der Methode kann eine Reihe von Paketen versendet werden.
# Der Client sendet eine Verbindungsanfrage ähnlich wie bei SOCKS-4
# Der Server antwortet ähnlich wie bei SOCKS-4

{| class="wikitable"
|+ Authentifizierungsmethoden
|-
! Byte
! Name
! Erklärung
|-
| <code>0x00</code>
| NO AUTHENTICATION REQUIRED
| Keine Authentifizierung benötigt
|-
| <code>0x01</code>
| [[GSSAPI]]
| GSSAPI, siehe <nowiki>RFC 2743</nowiki>.<ref>{{RFC-Internet |RFC=2743 |Titel=Generic Security Service Application Program Interface Version 2, Update 1 |Datum=2000}}</ref> Genutzt u. a. von [[Kerberos (Protokoll)|Kerberos]].
|-
| <code>0x02</code>
| USERNAME/PASSWORD
| Authentifizierung mit Benutzername und Passwort, siehe <nowiki>RFC 1929</nowiki><ref>{{RFC-Internet |RFC=1929 |Titel=Benutzername/Passwort-Authentifizierung für SOCKS V5 |Datum=}}</ref>
|-
| <code>0x03</code> bis <code>0x7F</code>
| IANA ASSIGNED
| Werden von der [[Internet Assigned Numbers Authority|IANA]] vergeben
|-
| <code>0x80</code> bis <code>0xFE</code>
| RESERVED FOR PRIVATE METHODS
| Für nicht öffentliche Methoden reserviert
|-
| <code>0xFF</code>
| NO ACCEPTABLE METHODS
| Keine akzeptable Methode
|}

Der Client sendet als erstes seine Authentifizierungsmethoden:

{| class="wikitable"
|-
! Länge
! Beschreibung
|-
| 1 Byte
| Version (für SOCKS-5: <code>0x05</code>)
|-
| 1 Byte
| Anzahl <math>n</math> der unterstützten Authentifizierungsmethoden
|-
| <math>n</math> Bytes
| Byte-Werte der unter 'Authentifizierungsmethoden' genannten Methoden, ein Byte pro Methode
|}

Der Server gibt die Auswahl der Methode bekannt

{| class="wikitable"
|-
! Länge
! Beschreibung
|-
| 1 Byte
| Version (<code>0x05</code>)
|-
| 1 Byte
| Byte-Wert der Authentifizierungsmethode; <code>0xFF</code>, wenn keine akzeptable Methode gefunden.
|}

=== Die Verbindungsanfrage ===

So sieht die Verbindungsanfrage bei SOCKS-5 aus:

{| class="wikitable"
|-
! Länge
! Beschreibung
|-
| 1 Byte
| Version (für SOCKS-5: <code>0x05</code>)
|-
| 1 Byte
| Befehl:
* <code>0x01</code>: Eine [[Transmission Control Protocol|TCP]]-Verbindung aufbauen
* <code>0x02</code>: Eine [[Transmission Control Protocol|TCP]]-Verbindung entgegennehmen, d. h. einen Server öffnen.
* <code>0x03</code>: Eine [[User Datagram Protocol|UDP]]-Weiterleitung einrichten
|-
| 1 Byte
| Reserviert: Muss <code>0x00</code> sein
|-
| 1 Byte
| Adress-Typ (Typ der Zieladresse):
* <code>0x01</code>: IPv4-Adresse
* <code>0x03</code>: Domainname
* <code>0x04</code>: IPv6-Adresse
|-
|
| Abhängig vom gewählten Adress-Typ:
* IPv4: 4 Bytes
* Domainname: 1 Byte (Länge der Domain) + Domain
* IPv6: 16 Bytes
|-
| 2 Byte
| Port in [[Byte-Reihenfolge]] Big-Endian
|}

Die Serverantwort sieht so aus:

{| class="wikitable"
|-
! Länge
! Beschreibung
|-
| 1 Byte
| Version (<code>0x05</code>)
|-
| 1 Byte
| Antwortcode (siehe Tabelle ''Antwortcodes'')
|-
| 1 Byte
| Reserviert: Muss <code>0x00</code> sein
|-
| 1 Byte
| Address-Typ:
* <code>0x01</code>: IPv4-Adresse
* <code>0x03</code>: Domainname
* <code>0x04</code>: IPv6-Adresse
|-
|
| Abhängig vom Adress-Typ:
* IPv4: 4 Bytes
* Domainname: 1 Byte (Länge der Domain) + Domain
* IPv6: 16 Bytes
|-
| 2 Byte
| Port in [[Byte-Reihenfolge]] Big-Endian
|}

{| class="wikitable"
|+ Antwortcodes
|-
! Byte
! Name
! Erklärung
|-
| <code>0x00</code>
| succeeded
| Verbindung erfolgreich hergestellt
|-
| <code>0x01</code>
| general SOCKS server failure
| Serverfehler
|-
| <code>0x02</code>
| connection not allowed by ruleset
| Verbindung wegen der Serverkonfiguration nicht erlaubt.
|-
| <code>0x03</code>
| Network unreachable
| Das Zielnetzwerk ist nicht erreichbar
|-
| <code>0x04</code>
| Host unreachable
| Der Zielhost ist nicht erreichbar
|-
| <code>0x05</code>
| Connection refused
| Verbindung abgelehnt
|-
| <code>0x06</code>
| [[Time to Live|TTL]] expired
| Zielrechner zu weit entfernt
|-
| <code>0x07</code>
| Command not supported
| Kommando der Anfrage wird nicht unterstützt
|-
| <code>0x08</code>
| Address type not supported
| ATYP der Anfrage wird nicht unterstützt
|-
| <code>0x09</code> bis <code>0xFF</code>
|colspan="3"| Nicht vergeben
|}

== SOCKS-Server ==
Liste von SOCKS-Servern:
* [http://www.delegate.org/ Delegate universaler Proxy-Server, unter anderem Socks-Server, Open Source]
* [https://mitmproxy.org/ mitmproxy universaler Proxy-Server, unter anderem Socks-Server, Open Source]
* [http://www.inet.no/dante/ Dante Socks-Server]
* [http://jsocks.sourceforge.net/ Java Socks-Server, Open Source]
* [http://www.alhem.net/project/socks4/ Socks4-Server]
* [http://sourceforge.net/projects/mocks mocks]
* [http://www.coderslagoon.com/home.php#cutesocks CuteSocks]
* [[Secure Shell|SSH als Socks-Server]]

== SOCKS-Clients/SOCKS-Wrapper ==
Es existieren [[Computerprogramm|Programme]], die es anderen Programmen ermöglichen, externe [[Netzwerk]]e über SOCKS zu erreichen, ohne dass sie spezielle Unterstützung dafür mitbringen müssen:

Liste von SOCKS-Clients:
* [http://www.inet.no/dante/ Dante client]
* [http://www.freecap.ru/eng/ FreeCap]
* [http://www.widecap.com/ WideCap]
* [https://www.opentext.com/products-and-solutions/products/specialty-technologies/connectivity/socks-client/ Open Text SOCKS Client (Nachfolger von „Hummingbird SOCKS“)]
* [http://proxylabs.netwu.com/ ProxyCap]
* [http://www.google.com/search?hl=en&q=Sockscap&btnG=Google+Search SocksCap (Google Link)]
* [http://tsocks.sourceforge.net/about.php tsocks]
* [http://www.dest-unreach.org/socat/ socat]
* [https://github.com/darkk/redsocks/ redsocks]
* [http://proxychains.sourceforge.net/ proxychains]
* [http://www.proxifier.com/ proxifier]
* [http://code.google.com/p/badvpn/wiki/tun2socks tun2socks]

== Spezifikationen ==
* {{RFC-Internet |RFC=3089 |Titel=Ein SOCKS-basierender IPv4/IPv6-Gateway-Mechanismus |Datum=}}
* {{RFC-Internet |RFC=1961 |Titel=GSS-API-Authentifizierungsmethode für SOCKS V5 |Datum=}}
* {{RFC-Internet |RFC=1929 |Titel=Benutzername/Passwort-Authentifizierung für SOCKS V5 |Datum=}}
* {{RFC-Internet |RFC=1928 |Titel=SOCKS-Protokoll Version 5 |Datum=}}

== Einzelnachweise ==
<references />

[[Kategorie:IT-Architektur]]
[[Kategorie:Internet-Anwendungsprotokoll]]
[[Kategorie:Abkürzung]]

Wikipedia (Deutsch) – Lokale Kopie - Benutzerbeiträge [de]

SOCKS